Показано с 1 по 19 из 19.

Удалить процессы surfguard.exe и safesurf.exe (заявка № 145846)

  1. #1
    Junior Member Репутация
    Регистрация
    17.09.2013
    Сообщений
    32
    Вес репутации
    12

    Удалить процессы surfguard.exe и safesurf.exe

    Сервер win2003st, AD, DNS, DHCP, UserGate 5.2. Около месяца назад, когда сис.админ (т.е. я) находился в отпуске, что-то начало жрать трафик, т.к. у нас с инетом дела плачевные, у нас лимит 10 gb в месяц на офис в количестве 10 человек. Приехал и начал разбираться и увидел по ip логам, что с 2-х замечательных процессов surfguard.exe и safesurf.exe, идут пакеты (нереально много). И у нас за 5 дней лимит кончился.
    прошу помощь с удалением!

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) andy60rus, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Info_bot получил(а) благодарность за это сообщение от


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Взломали ваш сервер...
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\intel\web\microsoft\xstarter\services.exe');
     TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe');
     TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
     QuarantineFile('c:\intel\web\microsoft\xstarter\services.exe',''); 
     QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
     QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
     DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
     DeleteFile('c:\intel\web\microsoft\surfguard.exe','32');
     DeleteFile('c:\intel\web\microsoft\xstarter\services.exe','32');
    BC_ImportDeletedList;
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Перезагрузите сервер и удалите папку C:\Intel со всем содержимым.
    Меняйте админские пароли и пароли на удалённый доступ, ищите левых пользователей на сервере и удаляйте их.

    Сделайте полный образ автозапуска uVS.


    Сделайте логи RSIT.
    WBR,
    Vadim

  6. Vvvyg получил(а) благодарность за это сообщение от


  7. #4
    Junior Member Репутация
    Регистрация
    17.09.2013
    Сообщений
    32
    Вес репутации
    12
    Папка C:\Intel не удаляется пишет, что папка не пуста!
    Вложения Вложения
    • Тип файла: txt log.txt (53.5 Кб, 2 просмотров)

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    
    delref %SystemDrive%\INTEL\WEB\MICROSOFT\XSTARTER\SERVICES.EXE
    zoo %SystemDrive%\WMPUB\LOGS\WA\SMSS.EXE
    delall %SystemDrive%\WMPUB\LOGS\WA\SMSS.EXE
    zoo %SystemDrive%\WMPUB\LOGS\WA\WASPPACER.EXE
    delall %SystemDrive%\WMPUB\LOGS\WA\WASPPACER.EXE
    zoo %SystemRoot%\ADFS\CTFMON.EXE
    delall %SystemRoot%\ADFS\CTFMON.EXE
    zoo %SystemDrive%\WMPUB\LOGS\WA\CTFMONS.EXE
    delall %SystemDrive%\WMPUB\LOGS\WA\CTFMONS.EXE
    zoo %SystemDrive%\WMPUB\777\2.EXE
    delall %SystemDrive%\WMPUB\777\2.EXE
    zoo %SystemDrive%\WMPUB\LOGS\WA\LEVEL.EXE
    delall %SystemDrive%\WMPUB\LOGS\WA\LEVEL.EXE
    zoo %SystemDrive%\WMPUB\LOGS\WA\UP.BAT
    delall %SystemDrive%\WMPUB\LOGS\WA\UP.BAT
    zoo %SystemDrive%\WMPUB\LOGS\WA\UPDATER.EXE
    delall %SystemDrive%\WMPUB\LOGS\WA\UPDATER.EXE
    
    adddir %SystemDrive%\INTEL
    adddir %SystemDrive%\WMPUB
    adddir %SystemRoot%\ADFS
    crimg
    В процессе выполнения скрипта будет создан новый полный образ автозапуска, дождитесь окончания процесса и перезагрузите сервер вручную.

    Прикрепите файл с образом к своему следующему сообщению.

    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
    WBR,
    Vadim

  9. Vvvyg получил(а) благодарность за это сообщение от


  10. #6
    Junior Member Репутация
    Регистрация
    17.09.2013
    Сообщений
    32
    Вес репутации
    12
    Готово!
    Вложения Вложения

  11. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Судя по датам создания файлов, отложили яичко вам ещё 14 июня, в т. ч. программу взлома паролей поставили, в июле догрузили софт, а 14 августа развернулись по полной, установили нелегальный игровой сервер WarSpace.

    Очистите папку ZOO, чтобы не паковать то же самое повторно, и выполните скрипт в uVS:
    Код:
    ;uVS v3.81.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    
    zoo %Sys32%\SETHC.EXE
    delall %Sys32%\SETHC.EXE
    delall %SystemDrive%\WMPUB\LOGS\WA\WAAGENT.EXE
    zoo %SystemRoot%\ADFS\LANGS\WA.EXE
    delall %SystemRoot%\ADFS\LANGS\WA.EXE
    zoo %SystemRoot%\ADFS\LANGS\X.EXE
    delall %SystemRoot%\ADFS\LANGS\X.EXE
    zoo %SystemRoot%\ADFS\LANGS\TMA.EXE
    delall %SystemRoot%\ADFS\LANGS\TMA.EXE
    zoo %SystemRoot%\ADFS\LANGS\NTPASSWORDER.EXE
    delall %SystemRoot%\ADFS\LANGS\NTPASSWORDER.EXE
    zoo %SystemRoot%\cta32as.dll
    Закройте программу по окончании выполнения скрипта и, как в прошлый раз, отправьте содержимое ZOO в карантин с паролем virus.

    В папке
    Код:
    C:\Documents and Settings\All Users\Application Data\anal protect
    что-то ваше? Если нет - удаляйте.
    Скопируйте файл C:\WINDOWS\system32\dllcache\sethc.exe в папку C:\WINDOWS\system32, оригинальный был подменён.

    Сделайте лог MiniToolBox при подключённом интернете.
    WBR,
    Vadim

  12. Vvvyg получил(а) благодарность за это сообщение от


  13. #8
    Junior Member Репутация
    Регистрация
    17.09.2013
    Сообщений
    32
    Вес репутации
    12
    Это сделали удаленно, или с самого сервера?

  14. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Вам лучше знать - по логам этого не видно. Анализируйте способы удалённого доступа к серверу. По RDP есть возможность подключиться? Файрволл работает? Пароли, надеюсь, уже сменили?
    WBR,
    Vadim

  15. Vvvyg получил(а) благодарность за это сообщение от


  16. #10
    Junior Member Репутация
    Регистрация
    17.09.2013
    Сообщений
    32
    Вес репутации
    12
    Готово! ZOO так и не понял залил ли я в карантин или нет, отчета о заливке так и не получил...

    - - - Добавлено - - -

    Пароли изменил, 2 учетки левые удалил! По RDP есть доступ, но я настроил только его так, что только с определенного адреса можно подключаться было! Файрволл так такого нет, вкл Брандмауэр. Я почему спросил то, как эта шляпа попала серв?! так как у нас инет "никакой", и лимит ещё. В этот офис приходят с конторы "123" обновляют "Консультант+", я подозреваю их, но могу ошибаться!
    Вложения Вложения

  17. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Выполните скрипт в AVZ:
    Код:
    begin
     DeleteFileMask('C:\INTEL','*',true);
     DeleteDirectory('C:\INTEL');
     DeleteFileMask('C:\WMPUB\LOGS\WA','*',true);
     DeleteDirectory('C:\WMPUB\LOGS\WA');
    end.
    После его выполнения проверьте - папка C:\INTEL грохнулась?

    У сервера, кроме RDP, много сервисов наружу торчит.
    DNS - зачем позволять его использовать с публичного ip-адреса? На запросах к нему трафик может уйти не такой маленький.
    NTP - кто-то синхронизирует снаружи время? Кстати, на сервере, похоже, не установлено обновление KB2570791, корректирующее настройку часовых поясов.
    Почта, LDAP майкрософтовские службы - это должно быть открыто для доступа снаружи? Закройте брандмауэром всё, кроме того, что действительно необходимо, предоставьте доступ только нужным ip-адресам.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  18. Vvvyg получил(а) благодарность за это сообщение от


  19. #12
    Junior Member Репутация
    Регистрация
    17.09.2013
    Сообщений
    32
    Вес репутации
    12
    Папка не грохнулась!
    "DNS - зачем позволять его использовать с публичного ip-адреса?" отвечаю, из-за UserGate.
    NTP - нет, ни кто..

  20. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Станьте владельцем папки и подпапок, дайте полные права и удалите вручную.
    Насчёт DNS всё же непонятно - зачем обслуживать запросы снаружи? UserGate это не нужно совсем.
    WBR,
    Vadim

  21. Vvvyg получил(а) благодарность за это сообщение от


  22. #14
    Junior Member Репутация
    Регистрация
    17.09.2013
    Сообщений
    32
    Вес репутации
    12
    В ручную не удаляет. Я владелец и у меня полный доступ, но не удаляет!
    В настройка UG есть настройка DNS, -> Использовать DNS из списка -> у меня стоит dns - сервер, который дал мне провайдер! Без это UG, когда самый первый раз настраивал его, через день, пропал ping на сервер провайдера! думал что у них что то сбилось! support UG программой si.exe, посмотрели и сказали изменить настройки на те которые написал выше! и вауля заработало.
    А Вы про какой DNS, может я не про то понял?!

  23. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Я про доступ к DNS-серверу вашего сервера снаружи. Закройте это на брандмауэре.
    WBR,
    Vadim

  24. Vvvyg получил(а) благодарность за это сообщение от


  25. #16
    Junior Member Репутация
    Регистрация
    17.09.2013
    Сообщений
    32
    Вес репутации
    12
    Вроде поправил!
    Слушай, а у меня есть еще сервер один! Мне новую тему создать или в эту написать с вложениями! Просто для проверки?!

  26. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,791
    Вес репутации
    779
    Новую, чтобы не путаться.
    WBR,
    Vadim

  27. Vvvyg получил(а) благодарность за это сообщение от


  28. #18
    Junior Member Репутация
    Регистрация
    17.09.2013
    Сообщений
    32
    Вес репутации
    12
    спасибо большое!

  29. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,514
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) andy60rus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Процессы Wasppacer, safesurf
      От Discover в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 09.09.2013, 19:31
    2. surfguard.exe (заявка №32018)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 23.01.2011, 12:00
    3. процессы safesurf и surfguard
      От remixex в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 09.10.2010, 13:53
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 08:40
    5. Посоветуйте как удалить процессы из ядра.
      От beretta в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.12.2007, 22:15

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00756 seconds with 22 queries